~~NOTOC~~
====== 6. Revoca (Revocation) ======
**Scenari:** 4 \\
**Funzioni FFI:** ~35 \\
**Stato:** Pianificato
Questa categoria comprende tutti gli scenari per la revoca di certificati. Creazione CRL, setup OCSP Responder e gestione Delta-CRL.
----
===== Scenari =====
^ ID ^ Scenario ^ Descrizione ^ Complessità ^ Stato ^
| [[.:crl_erstellen|6.1]] | Creare CRL | Generare Certificate Revocation List | Media | Pianificato |
| [[.:ocsp_responder|6.2]] | OCSP Responder | Online Certificate Status Protocol | Alta | Pianificato |
| [[.:delta_crl|6.3]] | Delta-CRL | Aggiornamenti CRL incrementali | Alta | Pianificato |
| [[.:zertifikat_widerrufen|6.4]] | Revocare certificato | Revocare singolo certificato | Media | Pianificato |
----
===== Architettura Revocation =====
flowchart TB
subgraph CA["Certificate Authority"]
REVOKE[Richiesta revoca]
DB[(Revocation DB)]
CRL_GEN[CRL Generator]
OCSP_SIGN[OCSP Signer]
end
subgraph DIST["Distribuzione"]
CDP[CRL Distribution Point]
OCSP_SRV[OCSP Responder]
end
subgraph CLIENT["Client"]
VAL[Validatore]
end
REVOKE --> DB
DB --> CRL_GEN --> CDP
DB --> OCSP_SIGN --> OCSP_SRV
VAL --> |HTTP GET| CDP
VAL --> |OCSP Request| OCSP_SRV
style DB fill:#e3f2fd
style CDP fill:#e8f5e9
style OCSP_SRV fill:#fff3e0
----
===== Motivi di revoca (RFC 5280) =====
^ Codice ^ Motivo ^ Descrizione ^
| 0 | unspecified | Nessun motivo specificato |
| 1 | keyCompromise | Chiave privata compromessa |
| 2 | cACompromise | CA compromessa |
| 3 | affiliationChanged | Organizzazione modificata |
| 4 | superseded | Sostituito da nuovo certificato |
| 5 | cessationOfOperation | Servizio cessato |
| 6 | certificateHold | Sospeso temporaneamente |
----
===== CRL vs OCSP =====
^ Aspetto ^ CRL ^ OCSP ^
| **Aggiornamento** | Periodico (ore/giorni) | Tempo reale |
| **Dimensione** | Cresce con le revoche | Costante (~4 KB) |
| **Offline** | Possibile | Server richiesto |
| **Privacy** | Nessuna richiesta visibile | Server vede le richieste |
| **Standard** | RFC 5280 | RFC 6960 |
----
===== Requisiti specifici per settore =====
^ Settore ^ Metodo ^ Intervallo aggiornamento ^ Particolarità ^
| **Energia/SCADA** | CRL | 24-72h | Ambienti offline, distribuzione manuale |
| **Sanità** | OCSP | Tempo reale | Requisiti gematik, QES |
| **Automotive** | CRL + OCSP | 1-6h | V2X richiede reazione rapida |
| **IT standard** | OCSP Stapling | Tempo reale | Ottimizzato per performance |
----
===== Guida rapida al codice =====
==== Creare CRL ====
// CRL-Builder initialisieren
var crlBuilder = ctx.CreateCrlBuilder(issuerCert, issuerKey);
// Widerrufene Zertifikate hinzufügen
crlBuilder.AddRevokedCertificate(
serialNumber: revokedCert.SerialNumber,
revocationDate: DateTimeOffset.UtcNow,
reason: RevocationReason.KeyCompromise
);
// CRL generieren
var crl = crlBuilder.Build(
thisUpdate: DateTimeOffset.UtcNow,
nextUpdate: DateTimeOffset.UtcNow.AddDays(7),
crlNumber: 42
);
File.WriteAllBytes("intermediate.crl", crl.ToDer());
==== Revocare certificato ====
// Zertifikat zum Widerruf laden
var certToRevoke = ctx.LoadCertificate("compromised.crt.pem");
// In Revocation-DB eintragen
ctx.RevokeCertificate(
certificate: certToRevoke,
reason: RevocationReason.KeyCompromise,
invalidityDate: DateTimeOffset.UtcNow.AddHours(-2) // Kompromittierung vor 2h
);
// Neue CRL generieren und verteilen
var newCrl = ctx.GenerateCrl(issuerCert, issuerKey);
await PublishCrl(newCrl, "http://crl.example.com/intermediate.crl");
----
===== Categorie correlate =====
^ Categoria ^ Relazione ^
| [[it:int:pqcrypt:szenarien:pki:start|1. Infrastruttura PKI]] | CRL Distribution Points nella configurazione CA |
| [[it:int:pqcrypt:szenarien:validierung:start|5. Validazione]] | Revocation Check nella validazione |
| [[it:int:pqcrypt:szenarien:verwaltung:start|4. Gestire certificati]] | Re-Key dopo revoca |
----
<< [[it:int:pqcrypt:szenarien:validierung:start|← 5. Validazione]] | [[it:int:pqcrypt:szenarien:start|↑ Scenari]] | [[it:int:pqcrypt:szenarien:verschluesselung:start|7. Crittografia →]] >>
----
//Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional//
{{tag>categoria revoca revocation crl ocsp}}